我的服务器抛出这样的错误。我想某种攻击正在发生。我有IIS7,Windows Server 2012。
System.Web.HttpRequestValidationException (0x80004005): A potentially dangerous Request.RawUrl value was detected from the client (="...?return="><noembed><img+src%3D...").
at System.Web.HttpRequest.ValidateString(String value, String collectionKey, RequestValidationSource requestCollection)
at System.Web.HttpRequest.get_RawUrl()
at System.Web.UI.Page.ValidateRawUrlIfRequired()
at System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)
at System.Web.UI.Page.ProcessRequest(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)
at System.Web.UI.Page.ProcessRequest()
at System.Web.UI.Page.ProcessRequest(HttpContext context)
at System.Web.HttpApplication.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
at System.Web.HttpApplication.ExecuteStepImpl(IExecutionStep step)
at System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)
它基本上警告跨站点脚本攻击(XSS):https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
这意味着有人试图使用查询字符串将有效的HTML注入您的网页。如果您的网络服务器被编程为随后在其他地方(可能是论坛或某物)显示,那么这会打开攻击媒介。您网站的其他访问用户可能会执行攻击者注入的JavaScript代码。
为了防止这种情况,ASP.NET默认情况下不允许某些内容出现在查询字符串中,特别是任何类似于有效HTML的内容。这可能是由于您网站某处的输入字段无法正确转义HTML字符或某人只是试图攻击您的网站而引起的。无论哪种方式,请确保始终在服务器或客户端(或两者)上正确地转义用户控制的输入。
如果您认为您的安全性正常,那么您可以忽略此错误,因为它基本上是您无法控制的。 ASP.NET只是检测到了攻击并阻止了它。